Los actores de amenazas se unen para generar un aumento de correos electrónicos de phishing después de las fiestas navideñas

La semana pasada, dos actores de amenazas diferentes se unieron para enviar miles de correos electrónicos de phishing después de las vacaciones destinados a organizaciones norteamericanas.

Aparte del volumen, la campaña fue bastante estándar. Lo que quizás sea más interesante es el momento de la campaña y la relación de los perpetradores detrás de ella.

Los correos electrónicos contenían líneas de asunto vagas y ganchos corporativos (por ejemplo, “Hola, adjunto encontrará la factura de diciembre de 2023”). Los usuarios que hicieron clic en el enlace de OneDrive contenido en un PDF adjunto recibieron un dúo de malware personalizado: un descargador llamado “WasabiSeed” y el evidente “Screenshotter”. Punto de prueba, que escribió sobre la campaña el jueves, bloqueó los correos electrónicos antes de que llegaran a sus destinos previstos.

Lo más interesante es que el principal culpable, al que Proofpoint rastrea como TA866, permaneció casi en silencio durante nueve meses antes. Su coconspirador, TA571, parece haber estado desconectado durante las vacaciones de invierno. Pero después de disfrutar de algunos chocolates calientes y alegría navideña, el ex actor de amenazas utilizó al último actor de amenazas para entregar con éxito su contenido malicioso de bajo grado a escala masiva.

Los spammers se asocian con distribuidores de tráfico

TA866 ha estado activo desde al menos octubre de 2022. Sin embargo, en sus primeras semanas de funcionamiento, fue relativamente manso y envió solo una cantidad limitada de correos electrónicos a una pequeña cantidad de organizaciones.

A finales de 2022, el grupo comenzó a vincular las URL de contenido malicioso a través de sistemas de distribución de tráfico (TDS). Los TDS son un intermediario cada vez más popular en el mundo cibernético clandestino, que conecta a los phishers con proveedores de contenido malicioso y filtra el tráfico de las víctimas en el medio para obtener el máximo beneficio.

Tan rápido como hizo este cambio, Las campañas de TA866 explotaron a miles de correos electrónicos por ronda. Parece seguir con esa fórmula, ya que esta última campaña utiliza el TDS de TA571 para distribuir archivos PDF maliciosos.

Sin embargo, TA866 no es el único cómplice de TA571. El mes pasado, Proofpoint reveló un nuevo actor de amenazas, "BattleRoyal", que, al igual que TA866, utilizaba redes TDS para difundir URL maliciosas. Desde entonces, quedó claro que BattleRoyal también estaba utilizando los servicios de TA571.

“A menudo, en este ecosistema de cibercrimen, cada actor tiene su propio trabajo. Hay personas que envían spam, personas que venden cargadores, personas que realizan el reconocimiento posterior a la explotación y, en ese momento, podrían vender el acceso a un actor de amenazas de ransomware”, explica Selena Larson, analista senior de inteligencia de amenazas de Proofpoint. Por ejemplo, campañas anteriores de TA866 involucraron al ladrón Rhadamanthys, una oferta de la Dark Web utilizada para capturar billeteras criptográficas, cuentas de Steam, contraseñas de navegadores, clientes FTP, clientes de chat (por ejemplo, Telegram, Discord), clientes de correo electrónico, configuraciones de VPN, cookies, archivos, y más.

Los principales actores de amenazas se toman unas vacaciones

Además de las asociaciones con TDS, el momento del ataque de la semana pasada también puede reflejar algo más profundo sobre el cibercrimen clandestino actual.

Con la misma seguridad que cada año se puede escuchar a Mariah Carey en la radio a principios del invierno, la comunidad de ciberseguridad plantea Banderas de advertencia sobre ataques entrantes durante las festividades. Pero, como explica Larson, “tendemos a ver una disminución en la actividad de algunos de los grupos de cibercrimen de mayor volumen y con mejores recursos que distribuyen más malware y pueden conducir a cosas como, potencialmente, ransomware.

“A menudo vemos a algunos de los principales actores del crimen electrónico tomar descansos durante las vacaciones. Emotet solía ser el mejor ejemplo de esto, y caía regularmente desde diciembre hasta mediados de enero. Este año, por ejemplo, el TA571 se tomó un descanso entre mediados de diciembre y la segunda semana de enero”, afirma. Larson también señala que en algunas partes del mundo, la temporada navideña se prolonga hasta enero que en Estados Unidos.

En otras palabras, es posible que los actores de amenazas más graves que se tomaron la Navidad estén volviendo a estar en línea ahora mismo.

"Proofpoint también está observando a otros actores regresar de las tradicionales vacaciones de fin de año", señaló la compañía en su blog, "y por lo tanto la actividad general del panorama de amenazas [está] aumentando".

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/threat-intelligence/threat-actors-post-holiday-phishing-email-surge